mit Wireguard-VPN kein Zugriff auf Client (NAS) im Netzwerk - Probleme mit New Zone Based Firwall?

    Hallo,
    ich habe in der UDM den WireGuard Server am laufen. Dort habe ich einen WG-Client eingerichtet. Dieser bekommt die IP 192.168.1.5 zugewiesen. DynDNS ist über IPv64.net eingerichtet und scheint auch aufgelößt zu werden.
    Nun möchte ich von extern per Wireguardclient von (Handy / PC) auf meine NAS auf der Adresse 192.168.2.5 zugreifen.
    Ich möchte den Zugang per Firewall gerne auf das nötigste eingrenzen. Sozusagen kommen von 192.168.1.5 (Wireguard IP) nach 192.168.2.5 (NAS IP). Idealerweise würde ich auch gerne nur den Port12345 durchlassen.

    Auf der UDM laufen einige VLANs. Default, Office, NAS, IoT, Video, Gastnetz.
    Nun habe ich in der New Zone Based Firwall. schon einige Einträge.
    In der FW Regel ist die Kommunikation untereinander blockiert. Erlaubenregeln ermöglichen z.B. Zugriff von Office auf Server. Oder Default auf alle Netzwerke. Oder Server auf Video.

    Wenn ich mich über Wireguard einwähle, bekomme ich IP 192.168.1.5. Damit diese auf Port 12345 zum Ziel NAS 192.168.2.5 kann habe ich schon einige Einträge in der FW probiert. Ich komme aber nie auf die NAS.
    Ich bin ein wenig ratlos :rolleyes:.

    Welcher Eintrag in der Zone Based Firwall mus stehen damit dies funktioniert?

    Danke für Eure Tipps

    In welchem VLAN ist das NAS und in welcher Zone ist dieses VLAN?

    Wie sehen die Firewall Einträge Zwischen der mir unbekannten Zone und der Zone VPN und die umgekehrte Richtung aus? am besten Screenshoots von beidem mit der Reihenfolge und konkret von den Regeleinstellungen machen. Ansonsten ist deine Frage pauschal nicht zu beantworten.

    Und was Port 12345 sein soll, würde mich auch interessieren. Platzhalter sind an dieser Stelle jedenfalls unnütz, da von uns niemand ohne VPN da rankommt.

    Quote from DoPe

    In welchem VLAN ist das NAS und in welcher Zone ist dieses VLAN?

    Wie sehen die Firewall Einträge Zwischen der mir unbekannten Zone und der Zone VPN und die umgekehrte Richtung aus? am besten Screenshoots von beidem mit der Reihenfolge und konkret von den Regeleinstellungen machen. Ansonsten ist deine Frage pauschal nicht zu beantworten.

    Und was Port 12345 sein soll, würde mich auch interessieren. Platzhalter sind an dieser Stelle jedenfalls unnütz, da von uns niemand ohne VPN da rankommt.

    Hallo, das NAS ist im VLAN-NAS (.100) und dieses ist mit dem Office (.30) und anderen VLANs in der Internen Zone.

    Port 12345 ist fiktiv gemeint. Im Original ist es 5001

    So wie es ausschaut, brauchst Du keinerlei Firewallregel für den Zugriff per Wireguard auf das NAS. In beide Richtungen ist alles erlaubt. Das funktioniert soweit auch ja?

    Dann sollte das hier helfen:

    Du kannst Dir auch Firewall Objekte anlegen für Source IP (statt den Wireguardservers auszuwählen, dann kannst Du einzelne Wireguard Clients "freischalten" statt alle Clients des ausgewählten Servers) Bei Destination kannst DU für IP und Port ebenfalls Firewall Objekte erstellen oder eben den Port und die IP direkt eintragen. Zu guter letzt, weil so weit wie möglich eingegrenzt, das ganze nur für TCP mit IPv4.

    Quote from DoPe

    So wie es ausschaut, brauchst Du keinerlei Firewallregel für den Zugriff per Wireguard auf das NAS. In beide Richtungen ist alles erlaubt. Das funktioniert soweit auch ja?

    Dann sollte das hier helfen:

    Du kannst Dir auch Firewall Objekte anlegen für Source IP (statt den Wireguardservers auszuwählen, dann kannst Du einzelne Wireguard Clients "freischalten" statt alle Clients des ausgewählten Servers) Bei Destination kannst DU für IP und Port ebenfalls Firewall Objekte erstellen oder eben den Port und die IP direkt eintragen. Zu guter letzt, weil so weit wie möglich eingegrenzt, das ganze nur für TCP mit IPv4.

    Hallo und Danke.
    Ich habe dann mal das nachgebaut.
    Soweit ich es verstehe sollte es ja noch eine Regel geben die allen anderen Verkehr VPN - Interne Netze verbietet. Da ja grundsätzlich alles offen ist. Siehe Anhang.

    Ich kann die Funktionalität leider nicht prüfen da ich nur ein Internetzugang habe, und Handyempfang ist leider auch keiner (ist auf dem Dorf leider so).

    Hallo,


    an diesem Thema bin ich auch gerade dran.

    Ich habe es wie folgt gelöst:

    Der Zugreifende Client hat ja eine feste IP vom VPN- Server

    Diese IP 192.168.99.4 erlaube ich auf die NAS 192.168.178.100, alle anderen IP aus dem VPN- Server- Netzwerk verbiete für alle Netzwerke

    Habe 2 Internetleitungen zur Verfügung; im Test hat es entsprechend funktioniert

    Opernball Ich habe lediglich die Regel für das erlauben angeboten. Das Droppen des Restes sollte ja selbsterklärend sein und die hast Du ja auch hinbekommen. Ich stelle hier ja keine Komplettlösungen bereit, denn dann ist der Lerneffekt gleich NULL.


    Falke07 Du benutzt noch die alte Version der Firewall, der TE allerdings die zonenbasierte Version der Firewall.

    DoPe Jo. Ich wollte nur Volständehalber dies erwähnen. Nicht das ich noch einen Denkfehler habe :)

    Bei der Migration auf die Zone Based FW habe ich unzählige (in meinen Augen auch viele sinnlose) Regeln erhalten. Hier muss ich einiges bereinigen.

    Quote from Opernball

    Bei der Migration auf die Zone Based FW habe ich unzählige (in meinen Augen auch viele sinnlose) Regeln erhalten. Hier muss ich einiges bebereinigen.

    Das ist normal. Die alten Regeln galten ja für Netze, die jetzt in unterschiedlichen Zonen sind. Dazu x in, out und lokal...

    Da werden dann so einige Regeln vervielfacht. Wenn man weiß wofür die Regel mal erstellt wurde, ist das aufräumen einfach, kann aber Fleissarbeit sein.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login